请教一下PE文件装载到运行装到内存后....(见正文)-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 请教一下PE文件装载到运行装到内存后....(见正文) 0.00雪花

发表于: 2009-11-16 14:46 3538

[旧帖] 请教一下PE文件装载到运行装到内存后....(见正文) 0.00雪花

liyongwu

活跃值

2009-11-16 14:46

3538

请教一下PE文件装载到运行装到内存后还能读到PE的DOSHEADER\OP32HEADER等信息吗?
用CREATEFILE后读出的相关信息,怎么和运行装载后内存的位置对应起来.

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・1

免费

支持

分享

最新回复 (5)
xtwwh 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	xtwwh 2 楼个人看法：可以读的，首先节表以前的信息是连续的，这部分的内存影象和其在文件中的影象是一样的。节表以后的各节的RA可以通过baseimage+vra 得到，并按内存要求对齐。 2009-11-16 15:17 0
风随雨行雪币： 2513 活跃值： (640) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 3 楼程序加载进内存的基址就是DOS头的起始位置，从那儿开始按照PE结构读取相关信息即可第2个没听明白，加载PE和你CreateFile有必然联系么？ 2009-11-16 15:27 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 4 楼一个是文件对齐一个是内存对齐了 2009-11-16 15:35 0
liyongwu 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 89 粉丝 0 关注私信	liyongwu 5 楼谢谢您们的回复. 是这样的,我用CreateFile和ReadFile可以得到ImageDosHeader等结构,但是我用OpenProcess和ReadProcessMemory就得不到, 另外我用ReadProcessMemory从地址0开始读,读不到. 我实际上就是想找到程序的数据段和代码段的地址范围,不知道用PE的头里能不能得到. 2009-11-16 18:38 0
pDriObj 雪币： 100 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 27 粉丝 1 关注私信	pDriObj 6 楼肯定可以,PE文件的信息都加载到内存里了.HOOK API有一种方法不就是改变IAT表中的数据吗?不加载到内存中怎么改.并且加载后读取内容比用ReadFile方便一些,因为不用再RVA和文件偏移转换了你如果还拿不准的话你可以找个EXE文件用OD加载,然后跳到0x00400000看看,从MZ开头,全都一样.至于你用ReadProcessMemory读不到,可能你程序写得不对,或者有些地方有内存保护属性而你没有去掉所以读不到了.(VirtualProtect) 2009-11-16 19:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

liyongwu

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区